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Beschreibung 

Verfahren unci Vorrichtung zur Authentif ikation fur eine Viel- 
zahl von Diensten 

Die Erfindung betrifft ein Verfahren zur Authentif ikation fur 
eine Vielzahl von Diensten nach Patentanspruch 1 und ein Ver- 
fahren zur universellen Authentif ikation in einem intelligen- 
ten Netz fur eine Vielzahl von IN-Diensten nach Patentan- 
spruch 2 sowie eine Vorrichtung zur Authentif ikation fur eine 
Vielzahl von Diensten nach Patentanspruch 3. 

Viele Personen nutzen heutzutage verschiedenste Dienste, fur 
die sie eine Zugangsberechtigung benotigen. Als Beispiele 
seien hier nur genannt : Telekommunikationsdienste wie bei- 
spielsweise Abfragen einer Datenbank oder Zugang zum Inter- 
net, Mobiltelekommunikationsdienste, elektronische Bankdien- 
ste. Nahezu jeder dieser Dienste erfordert als Zugangsberech- 
tigung ein PaBwort, eine PIN (Personal Identification Number) 
oder eine personenspezif ische Karte wie beispielsweise eine 
Kreditkarte, eine Geldautomatenkarte oder Mobiltelef onkarte . 

Da Notizen uber Paliworter oder PINs ein Sicherheitsrisiko 
darstellen, muB sich jede Person die ihr zugeordneten Zu- 
gangsberechtigungen merken und Zugangskarten wie Firmenaus- 
weise, Bankkarten, etc. sicher verwahren. Gerade zur Verwal- 
tung einer groflen Anzahl von PaBwortern und PINs sind kleine 
elektronische Datenbanken in Form eines Taschenrechners 
erhaltlich, in denen die Paliworter und PINs abgespeichert 
werden konnen. Die in einer solchen Datenbank abgelegten 
Inf ormationen sind wiederum durch ein PaBwort oder PIN gesi- 
chert, urn unberechtigten Zugriff auf diese sicherheitsrele- 
vanten Daten zu verhindern. Der Datenbankbesitzer braucht 
sich dann nur noch das PaBwort oder die PIN fur den Zugriff 
auf die in der Datenbank gespeicherten Inf ormationen zu mer- 
ken. Allerdings mufl der Datenbankbesitzer beim Zugriff auf 
einen Dienst zuerst die Zugangsberechtigung fur den Dienst 
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aus seiner Datenbank abfragen und dann manuell in beispiels- 
weise ein Zugangsterminal fUr den Dienst eintippen. Dies ist 
weiterhin sehr umstandlich und bringt dem Datenbankbesitzer 
lediglich den Vorteil,. dafi er sich nicht so viele Zugangsbe- 
rechtigungen merken mufi . Zudem liegen alle Zugangsberechti- 
gungen zusammengef afit lokal vor, so dafi keine Sicherheit ge- 
gen Betrug oder Mifibrauch beispielsweise durch Hacker gewahr- 
leistet ist. 



Die der vorliegenden Erfindung zugrunde liegende Aufgabe 
liegt daher darin, ein Verfahren und eine entsprechende Vor- 
richtung vorzuschlagen, die einem Nutzer den Zugang zu einer 
Vielzahl von Diensten erleichtert . 

Diese Aufgabe wird durch ein Verfahren mit den Merkmalen von 
Patentanspruch 1 oder Patentanspruch 2 und durch eine Vor- 
richtung mit den Merkmalen von Patentanspruch 3 gelost. 

Die Erfindung betrifft ein Verfahren zur Authentif ikation fur 
eine Vielzahl von Diensten, wobei jeder Dienst uber eine 
dienstspezifische und/oder teilnehmerspezif ische Zugangsbe- 
rechtigung aufgerufen wird, ein Authentif ikations-Server vor- 
gesehen ist, in dem Authentif ikations-Server mindestens eine 
dienstspezifische bzw. teilnehmerspezif ische Zugangsberech- 
tigung fur einen Dienst gespeichert ist, eine Vielzahl von 
Nutzern zugeordneten Authentif ikationskodes im Authentif ika- 
tions-Server gespeichert ist, jeder Authentif ikationskode der 
oder den dienstspezif ischen bzw. teilnehmerspezif ischen 
Zugangsberechtigung(en) eines Nutzers zugeordnet ist, und der 
Authentifikations-Server bei Anforderung eines Dienstes eine 
Authentifikation mittels eines empfangenen Authentif ika- 
tionskodes derart durchfiihrt, dafl der empfangene Autentifi- 
kationskode mit alien im Authentifikations-Server gespeicher- 
ten Authentifikationskodes verglichen wird und der zentrale 
Authentifikations-Server bei einem positiven Vergleichsergeb- 
nis eine Verbindung zu dem angef orderten Dienst auf baut . 
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Vorteilhaf terweise sind bei diesem Verfahren alle Zugangsbe- 
rechtigungen eines Nutzers fur eine Vielzahl von Diensten in 
einem Authentif ikations-Server zentral gespeichert. Der 
Authentif ikations-Server kann dabei Teil eines Telekommunika- 
tionsnetzes sein und beispielsweise von einem Nutzer zur Nut- 
zung von besonderen Diensten des Telekommunikationsnetzes 
uber eine dafiir vorgesehene Nuinmer angewahlt werden. Sobald 
zwischen einem Teilnehmerendgerat des Nutzers und dem Authen- 
tif ikations-Server eine Verbindung besteht, kann der Nutzer 
beispielsweise durch die Eingabe eines dienstspezif ischen 
Kodes einen der besonderen Dienste des Telekommunikationsnet- 
zes anfordern. Der dienstspezif ische Kode kann dazu als Teil 
einer Rufnummer fur einen Verbindungsauf bau zum Authentif ika- 
tions-Server gebildet sein oder der Authentif ikations-Server 
weist eine "Prompt & Collect "-Funktionalitat auf, in der ein 
dienstspezif ischer Kode vom Nutzer ubermittelt und daraufhin 
der Nutzer sich durch Obertragung seines Authentif ikations- 
kodes authentif iziert . Der Authentif ikationskode entspricht 
sozusagen einem zentralen Zugangsschliissel zu den einzelnen 
Zugangsberechtigungen fur Dienste. Der Nutzer benotigt somit 
nur noch den Authentif ikationskode, urn Dienste anzufordern. 
Zur Erhohung der Sicherheit kann die Ubertragung des Authen- 
tif ikationskodes zum Authentif ikations-Server zusatzlich 
insbesondere zeitlich verschlusselt werden. 

Die Erfindung betrifft ferner ein Verfahren zur Authentif ika- 
tion in einem intelligenten Netz ftir eine Vielzahl von IN- 
Diensten, wobei jeder IN-Dienst uber eine dienstspezif ische 
und/ oder teilnehmerspezif ische Zugangsberechtigung auf geruf en 
wird, ein Authentif ikations-Server in einem Service-Control- 
Point des intelligenten Netzes vorgesehen ist, in dem Authen- 
tif ikations-Server mindestens eine dienstspezif ische bzw. 
teilnehmerspezif ische Zugangsberechtigung fiir einen IN-Dienst 
gespeichert ist, eine Vielzahl von Nutzern zugeordneten 
Authentif ikationskodes im Authentif ikations-Server 
gespeichert ist, jeder Authentif ikationskode der oder den 
dienstspezif ischen bzw. teilnehmerspezif ische Zugangsberech- 
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tigungen eines Nutzers zugeordnet ist, und der Authentif ika- 
tions-Server bei Anforderung eines IN-Dienstes eine Authenti- 
fikation mittels eines empf angenen Authentif ikationskodes 
derart durchfuhrt, dafl der empfangene Authentif ikationskode 
mit alien im Authentif ikations-Server gespeicherten Authenti- 
f ikationskodes verglichen wird und der Authentif ikations- 
Server bei einem positiven Vergleichsergebnis eine Verbindung 
zu dem angef orderten IN-Dienst aufbaut. 

Weiterhin betrifft die Erfindung eine Vorrichtung zur Authen- 
tifikation fur eine Vielzahl von Diensten, wobei ein Authen- 
tif ikations-Server vorgesehen ist, der einen Speicher, in dem 
mindestens eine dienstspezif ische Zugangsberechtigung fur 
einen Dienst und Authentif ikationskodes gespeichert sind, 
eine Vergleichseinrichtung, die einen empfangenen Authentifi- 
kationskode mit den im Speicher gespeicherten Authentif ika- 
tionskodes vergleicht, und eine Verbindungsaufbaueinrichtung 
zum Aufbau einer Verbindung zu einem angef orderten Dienst 
aufweist. 

Weitere Vorteile und Anwendungsmoglichkeiten der Erfindung 
ergeben sich aus der nachf olgenden Beschreibung in Verbindung 
mit der Zeichnung. In der Zeichnung zeigt: 

Fig. 1 ein Blockschaltbild, das den Zugriff liber verschiedene 
Zugange auf verschieden Dienste darstellt, 

Fig. 2 ein Blockschaltbild, das den Zugriff iiber ein elektro- 
nisches Zahlungsterminal auf einen Bank-Server dar- 
stellt, 

Fig. 3 ein Blockschaltbild, das den Zugriff iiber ein Terminal 
auf einen Polizeidaten-Server darstellt, und 

Fig. 4 ein Blockschaltbild mit dem Aufbau des Authentif ika- 
tions-Servers . 
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In Fig. 1 ist der Ausschnitt eines intelligenten Netzes mit 
einem Service-Switching-Point 1 (SSP) und einem Service-Con- 
trol-Point 2 (SCP) dargestellt. 

5 Der Service-Switching-Point 1 stellt die Schnittstelle zwi- 
schen dem intelligenten Netz und dem offentlichen Telefonnetz 
(PSTN: Public Switch Telefone Network) dar . Uber eine Viel- 
zahl verschiedener Einrichtungen kann tiber den Service-Swit- 
ching-Point auf die verschiedenen Dienste des intelligenten 
10 Netzes zugegriffen werden. 



Solche Einrichtungen konnen beispielsweise ein Mobilf unk-Te- 
lefon 3 oder ein analoges Telefon 4 und ein digitales Telefon 
6, die beide tiber eine Nebenstellenanlage (PBX: Private Bran- 
15 che Exchange) 5 mit dem Service-Switching-Point 1 verbunden 
sind, ein Computer mit einem Modem 7, ein Computer mit einem 
LAN-Anschluii 8 oder ein elektronisches Zahlungsterminal 9 
sein. Die vorgenannte Aufzahlung ist dabei nicht abschlie- 
Bend, es sind jederzeit weitere Einrichtungen fur den Zugriff 
20 auf Dienste des intelligenten Netzes denkbar. 

Der Service-Switching-Point 1 ist mit einem Service-Control- 
Point 2 des intelligenten Netzes verbunden. Der Service-Con- 
trol-Point 2 fuhrt dabei die Dienste des intelligenten Net- 
|25 zes, die sogenannten IN-Dienste, aus. Dazu baut der Service- 
Control-Point 2 eine Verbindung zu einem Dienst-Server , der 
einen entsprechenden IN-Dienst ausfiihrt, auf und fordert von 
diesem den Dienst an. 

30 Als Dienst-Server sind beispielsweise ein Bank-Server 10, ein 
Universal-Personal-Telecommunication-SCP 11, ein Virtual Pri- 
vate Network 12, ein Home Location Register/Corporate Network 
13, ein Data-VPN 14 und ein Kreditkarten-Server 15 vorgese- 
hen, die mit dem Service Control Point 2 verbunden sind. 



35 



Mit dem Service-Switching-Point 1 und dem Service-Control- 
Point 2 ist ferner ein Authentif ikations-Server 16 verbunden, 



GR 99 P 2348 ^ 



6 

der zur Authentif ikation von Zugriffen auf die IN-Dienste 
vorgesehen ist. 

Wird beispielsweise uber einen Computer mit Modem 7 eine Ver- 
*bindung zu einem Bank-Server 10 fur z.B. eine Geldtransaktion 
angef ordert, so leitet der Service-Switching-Point 1 die 
Dienstanforderung an den Authentif ikations-Server 16 weiter, 
der den Zugriff dadurch authentif iziert, da£ er einen von dem 
Computer mit Modem 7 iibermittelten Authentif ikationskode 
eines Nutzers mit gespeicherten Authentif ikationskodes ver- 
gleicht und bei einem positiven Vergleichsergebnis uber den 
Service-Control-Point 2 den IN-Dienst bei dem Bank-Server 10 
anf ordert. Nach erf olgreicher Authentif ikation steht somit 
eine Verbindung zwischen dem Computer mit Modem 7 und dem 
Bank-Server 10 zur Verfugung. Analog verlauft beispielsweise 
ein Zugriff uber den Computer mit Modem 7 auf einen IN-Dienst 
des Kreditkarten-Servers 15. Auch bei der Wahl einer anderen 
Einrichtung fur den Zugang^ beispielsweise dem Mobilfunk- 
Telefon 3, verlauft der Zugang ahnlich. Hierzu ubertragt das 
Mobiltelefon den Authentif ikationskode an den Authentif ika- 
tions-Server 16. 

Der Authentif ikationskode kann bei einem Zugang iiber einen 
Computer per Tastatur von einem Nutzer eingegeben werden oder 
beispielsweise auf einer SMART-Card hinterlegt sein. Weist 
eine Zugangseinrichtung beispielsweise einen Fingerabdruck- 
Sensor auf, so kann der Authentif ikationskode als ver- 
schlusselter Fingerabdruck im Authentif ikations-Server 16 
gespeichert sein, so daft ein Nutzer sich durch seinen Finger- 
abdruck authentif iziert . Dazu sind im Authentif ikations-Ser- 
ver Daten liber den Fingerabdruck sowie die zugehorigen Ver- 
schllisselungsinformationen, die zur verschlusselten Ubertra- 
gung der Fingerabdruck-Daten dienen, gespeichert. 

In Fig. 2 ist skizziert, wie uber ein beliebiges Terminal 50, 
beispielsweise ein Computer-terminal, auf einen Bank-Server 52 
uber einen Authentif ikations-Server 51 zugegriffen wird. 
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Hierzu ist lediglich zu bemerken, dafl die Ubermittlung des 
Authentif ikationskodes vom Terminal 50 an den Authentifi- 
kations-Server 51 mittels einer verschlusselten Obertragung 
stattfindet. Dies verhindert unerlaubte Zugriffe auf den 
5 Authentif ikationskode wie beispielsweise AbhormalJnahmen auf 
der Obertragungsstrecke zwischen dem Terminal 50 und dem 
Authentif ikations-Server 51. Fur eine zusatzlich erhohte 
Sicherheit wechselt der Algorithmus zur Verschliisselung zeit- 
lich. Diese Anwendung bietet sich beispielsweise zum Transfer 
10 von Geldbetragen auf eine elektronische Geldborse oder bei 
der Bezahlung per Kredit- und/oder Accountkarte an. 

I Ahnlich verlauft der in Fig. 3 dargestellte Zugriff auf die 
Daten eines Polizeidaten-Servers 102. Einerseits ist der Zu- 

15 griff ohne Authentif ikation mittels eines Polizei-Terminal 

103 moglich, auf das ausschliefilich dafiir autorisierte Perso- 
nen wie beispielsweise Polizeibeamte Zugriff haben, anderer- 
seits kann liber ein Terminal 100 und einen Authentif ikations- 
Server 101 ebenfalls auf die Daten des Polizeidaten-Servers 

20 102 zugegriffen werden. Dies erleichtert beispielsweise den 
Zugriff auf Polizeidaten uber ein mobiles Terminal in einem 
Polizeiauto oder von einer Polizeistreif e . Hierbei ist wie- 
derum eine verschliisselte Obertragung 104 zwischen dem Ter- 
minal 100 und dem Authentif ikations-Server 101 vorgesehen. 
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In Fig. 4 ist der Aufbau des Authentif ikations-Servers skiz- 
ziert. Der Authentif ikations-Server weist einen Zugangsbe- 
rechtigungsspeicher 150 auf, in dem eine Vielzahl von Authen- 
tif ikationskodes gespeichert sind. Fur jeden Authentif ika- 
30 tionskode ist zudem gespeichert, fur welche Dienste ein 

Nutzer zugelassen ist. Eine Vergleichseinrichtung 151 ver- 
gleicht dabei einen iibermittelten Authentif ikationskode mit 
alien im Zugangsberechtigungsspeicher 150 abgelegten Authen- 
tif ikationskodes und signalisiert bei einem positiven Ver- 
35 gleich einer Verbindungsaufbaueinrichtung 152, welcher Dienst 
angefordert werden soil. 
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Patentanspruche 

1. Verfahren zur Authentif ikation fur eine Vielzahl von Dien- 
sten, wobei 

- jeder Dienst (10 - 15; 52; 102) iiber eine dienstspezif ische 
und/ oder teilnehmerspezif ische Zugangsberechtigung auf geru- 
fen wird, 

- ein Authentif ikations-Server (16; 51; 101) vorgesehen ist, 

- in dem Authentif ikations-Server (16; 51; 101) mindestens 
eine dienstspezif ische bzw. Teilnehmerspezif ische Zugangs- 
berechtigung fur einen Dienst (10 - 15; 52; 102) gespei- 
chert ist, 

- eine Vielzahl von Nutzern zugeordnete Authentif ikations- 
kodes im Authentif ikations-Server gespeichert ist, 

- jeder Authentif ikationskode der oder den dienstspezif ischen 
bzw. teilnehmerspezif ischen Zugangsberechtigungen eines 
Nutzers zugeordnet ist, und 

- der Authentif ikations-Server (16; 51; 101) bei Anforderung 
eines Dienstes eine Authentif ikation mittels eines empfan- 
genen Authentif ikationskodes derart durchfiihrt, daft der 
empfangene Authentif ikationskode mit alien im Authentif ika- 
tions-Server gespeicherten Authentif ikationskodes vergli- 
chen wird und der Authentif ikations-Server (16; 51; 101) 
bei einem positiven Vergleichsergebnis eine Verbindung zu 
dem angef orderten Dienst auf baut . 

2. Verfahren zur universellen Authentif ikation in einem 
intelligenten Netz fur eine Vielzahl von IN-Diensten, wobei 

- jeder IN-Dienst (10 - 15; 52; 102) iiber eine dienstspezif i- 
sche und/oder teilnehmerspezif ische Zugangsberechtigung 
aufgerufen wird, 
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- ein Authentif ikations-Server (16; 51; 101) in einem 
Service-Control-Point des intelligenten Netzes vorgesehen 
ist, 

- in dem Authentif ikations-Server (16; 51; 101) mindestens 

5 eine dienstspezif ische bzw. teilnehmerspezif ische Zugangs- 

berechtigung fur einen IN-Dienst (10 - 15; 52; 102) 
gespeichert ist, 

- eine Vielzahl von Nutzern zugeordnete Authentif ikations- 
kodes im Authentif ikations-Server gespeichert ist, 

10 - jeder Authentif ikationskode der oder den dienstspezif ischen 
bzw. teilnehmerspezif ischen Zugangsberechtigungen eines 
Nutzers zugeordnet ist, 

- der Authentif ikations-Server (16; 51; 101) bei Anforderung 
eines IN-Dienstes eine Authentif ikation mittels eines emp- 

15 fangenen Authentif ikationskodes derart durchfuhrt, daft der 

empfangene Authentif ikationskode mit alien im Authentifi- 
kations-Server gespeicherten Authentif ikationskodes vergli- 
chen wird und der Authentif ikations-Server (16; 51; 101) 
bei einem positiven Vergleichsergebnis eine Verbindung zu 

20 dem angef orderten IN-Dienst aufbaut. 



3. Vorrichtung zur Authentif ikation fur eine Vielzahl von 
t Diensten, wobei 

ein Authentif ikations-Server (16;, 51; 101) vorgesehen ist, 
25 der 

- einen Speicher (150), in dem mindestens eine dienstspezif i- 
sche Zugangsberechtigung ftlr einen Dienst (10 - 15; 52; 
102) und Authentif ikationskodes gespeichert sind, 

- eine Vergleichseinrichtung (151), die einen empfangenen 

30 Authentif ikationskode mit den im Speicher (150) gespeicher- 

ten Authentif ikationskodes vergleicht, und 

- eine Verbindungsaufbaueinrichtung (152) zum Aufbau einer 
Verbindung zu einen angef orderten Dienst aufweist. 



GR 99 P 2348 



10 

Zusammenf as sung 

Verfahren und Vorrichtung zur Authentif ikation fur eine Viel- 
zahl von Diensten 

Die Erfindung betrifft ein Verfahren zur Authentif ikation fur 
eine Vielzahl von Diensten, wobei jeder Dienst uber eine 
dienstspezif ische und/oder teilnehmerspezif ische Zugangsbe- 
rechtigung aufgerufen wird. Ferner betrifft die Erfindung ein 
Verfahren zur Authentif ikation in einem intelligenten Netz 
fur eine Vielzahl von IN-Diensten. Weiterhin betrifft die 
Erfindung eine Vorrichtung zur Authentif ikation fur eine 
Vielzahl von Diensten. i 



(Fig. 1) 
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